Dopo alcune segnalazioni pervenuteci da nostri lettori scrivo questo post per evitare che altri lettori possano incappare in virus/malware simili.
Fino a qualche tempo fa, il modo più veloce per far diffondere un virus o un malware era quello di inviare delle e-mail ed ora, che i client di posta (sia software che webmail) che gli antivirus sono piuttosto efficaci nel prevenirne i danni, ecco che gli hacker cercano di generare danni o rubare informazioni mediante i servizi PEC.
Eccovi uno dei casi che ci hanno portato all'attenzione e che fa da "caso pilota" per tutti gli altri.
Chi viene colpito
Questa segnalazione ci è arrivata da uno studio di architettura, ma ne abbiamo ricevute altre da studi legali e di commercialisti. Le segnalazioni ci pervengono per lo più da professionisti, perchè sono loro i maggiori utenti dei servizi e-mail PEC.
Come si presenta
Nel caso in questione, nella casella dei Messaggi in Arrivo della webmail PEC c'è un messaggio proveniente da una casella PEC reale (probabilmente una casella infetta spedisce a tutte le caselle della rubrica).
Il messaggio è accattivante "Pagamento" (o anche Ricevuta di Pagamento), quale professionista può resistere ad un messaggio relativo ad una ricevuta di pagamento?
Il testo
Il testo contenuto nell'e-mail PEC è solitamente questo:
Buon pomeriggio,
in allegato vi invio ricevuta di pagamento bollettino postale?in allegato copia del pagamento gennaio
Cordiali saluti
Chimento De Angelis
Ovviamente il firmatario sarà un nome falso e comunque, nei casi in oggetto è sempre un nominativo sconosciuto al destinatario dell'e-mail.
L'e-mail PEC è corredata di un allegato, anche questo con un nome assocultamente invogliante "ricevuta di pagamento(2017-01-10)".
A questo punto, in genere chi riceve questa email può tentare di scaricare l'allegato per vedere di cosa si tratti questa ricevuta di pagamento. Nel caso voi abbiate un buon antivirus aggiornato probabilmente il virus verrà immediatamente rilevato, come nel caso seguente nel quale il sistema rileva la minaccia e procede a bloccarne il download.
Nel caso in cui non siate protetti adeguatamente da un antivirus allora aprire il file può comportare per voi dei rischi. Vediamo quali
L'allegato (il codice malevolo)
Il file zippato allegato all'email PEC contiene un file con lo stesso nome "ricevuta di pagamento(2017-01-10)1122334455.html.js". I più attenti avranno notato la strana estensione di questo file. Si tratta di un file JavaScript, un tipo di linguaggio di programmazione pensato per il web e solitamente utilizzato per gli effetti dinamici ed interattivi nelle pagine web, ma che può essere anche usato da hacker per fini poco etici come rubare dati sensibili digitati nei form web o per installare estensioni malevole nel browser.
Per gli interessati vi linkiamo l'analisi di questo codice effettuata da Payload Security.
I nostri consigli
Ovviamente la prima accortezza è quella di stare attenti alle e-mail che ricevete perchè la prima linea di difesa siete sempre voi utenti. Detto questo eccovi alcuni piccoli consigli per non incorrere in problemi se ricevete questa e-mail PEC o un qualsiasi altro malware simile.
- Il primo consiglio è sicuramente quello di tenere sempre aggiornato il vostro antivirus;
- Non scaricate mail file zip provenienti da mittenti sconosciuti;
- Non aprite mai file con estensioni non tipiche;